Nach Safe Harbor: Wo bleibt die versprochene Rechtssicherheit?

Das Safe-Harbor-Vakuum: die bis Ende Januar versprochene Rechtssicherheit lässt auf sich warten, die Zukunft des transatlantischen Datenaustauschs bleibt damit weiter unklar. Lässt die Politik unsere IT-Industrie im Regen stehen?

In den Ländern der Europäischen Gemeinschaft regelt die Datenschutzrichtlinie 95/46/EG den Umgang mit personenbezogenen Daten. Sie gilt als einer der sichersten Datenschutzstandards der Welt und verbietet es, personenbezogene Daten aus Mitgliedsländern in Staaten zu übertragen, deren Datenschutz kein vergleichbares Schutzniveau aufweist. Da das US-amerikanische Recht über keine vergleichbaren Regelungen verfügt, wurde zwischen 1998 und 2000 mit Safe Harbor ein Verfahren entwickelt, bei dem sich Unternehmen in eine öffentlich zugängliche Liste des US-Handelsministeriums eintragen und dadurch verpflichten konnten, bestimmte Prinzipien einzuhalten. Die EU erklärte im Juli 2000, dass durch diese Erklärung ein ausreichender Schutz für die personenbezogenen Daten von EU-Bürgern sichergestellt sei.

14 Monate danach hat sich durch die Ereignisse des 11. September 2001 die Bedrohungslage verändert und die US-Sicherheitsbehörden wurden im Sinne der nationalen Sicherheit zu umfassenden Zugriffen auf jede Art von Daten ermächtigt – gesetzlich legitimiert durch den Patriot Act. Als sich jedoch auch 14 Jahre danach noch nichts an den exzessiven Datenzugriffen der US-Behörden geändert hat und der Patriot Act durch den USA Freedom Act abgelöst wurde, hob der Europäische Gerichtshof (EuGH) am 26. Oktober 2015 die Anerkennung von Safe Harbor als ausreichendes Datenschutzniveau auf. Ebenso unverständlich wie der 14 Jahre währende Ausnahmezustand der USA ist die plötzliche Erkenntnis der EU nach eben diesen 14 Jahren, dass die Verarbeitung personenbezogener Daten von EU-Bürgern in den USA nicht mehr sicher ist. Als Folge wurden Teile der IT-Industrie von einem Tag auf den anderen in eine Krise gestürzt, da viele bisher legale Geschäftsmodelle plötzlich gegen Europäisches Recht verstießen. Für die Unternehmen war es dabei ein schwacher Trost, dass ihnen die nationalen EU-Datenschutzbehörden eine Umstellungsfrist bis Ende Januar 2016 gewährten.

Fehlende Rechtssicherheit

Hat man sein Rechenzentrum nicht gerade auf einem Containerschiff errichtet, ist die kontinentale Verlagerung ein nicht einfaches Unterfangen. Als eine Notfallmaßnahme gelten die Standard-Vertragsklauseln der EU. Auch damit ist die Rechtslage jedoch nicht eindeutig geklärt. Während die Datenschutzbehörden bis zu einer Entscheidung, die für Ende Januar 2016 in Aussicht gestellt wurde, keine verbindlichen Auskünfte gewähren, dürfen nationale Aufsichtsbehörden durchaus tätig werden und beispielsweise auf Grundlage von Beschwerden einen Datentransfer in die USA verbieten.

Ein Einlenken der USA, d.h. eine Einschränkung und Kontrolle ihrer Sicherheitsbehörden, ist – gerade vor dem Hintergrund des laufenden Wahlkampfes – derzeit kaum zu erwarten. Das Problem sind jedoch nicht die USA – das Problem liegt auf beiden Seiten des Atlantiks: In Europa legitimierten Politiker 14 Jahre lang einen Missstand, reagierten dann mit einer Ad-hoc-Entscheidung und sind nun nicht in der Lage, die versprochene Rechtssicherheit zu schaffen.

Wie sicher sind fremde Häfen?

Vermutlich jede Regierung autorisiert Zugriffe ihrer Sicherheitsbehörden auf personenbezogene Daten, wenn es beispielsweise um Fragen der nationalen Sicherheit geht. Das gilt auch für die Datenschutzrichtlinie 95/46/EG, die dies in Artikel 3 (2) ausdrücklich erlaubt. Europa unterscheidet sich von anderen Ländern jedoch durch den Einfluss seiner nationalen Datenschutzbehörden und durch wirksame Kontrollmechanismen. Die exzessive, durch den USA Freedom Act legitimierte Datennutzung ist durch die Medien ausführlich behandelt und von uns allen wahrgenommen worden. Wir sollten jedoch davon ausgehen, dass vielen anderen Ländern die Beschränkung und Kontrolle ihrer Sicherheitsbehörden ähnlich schwer fällt.

Erste-Hilfe-Maßnahmen für IT-Unternehmen

In diesen Zeiten mangelnder Rechtssicherheit kann man Unternehmen, die personenbezogene Daten europäischer Staatsbürger in den USA verarbeiten, nur dazu raten, sich keinerlei Fahrlässigkeit vorwerfen zu lassen und neben der Verwendung der EU-Standard-Vertragsklauseln noch gründlicher internationale Sicherheitsstandards einzuhalten, kritische Daten zu verschlüsseln und die Zustimmung der betroffenen Personen (Eigentümer der verarbeiteten bzw. übermittelten Daten) einzuholen. Außerdem sollten sie sich bereit machen, sich bei einer entsprechenden Entscheidung der EU-Kommission kurzfristig vom Standort USA zu trennen. Wenn die Entscheidung irgendwann kommt…

Wie sehen Sie die Zukunft von außereuropäischen Standorten für die Verarbeitung von Daten aus der EU?

 

Bildquelle: Shutterstock

Hinterlassen Sie eine Antwort

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.